vlambda博客
学习文章列表

【安全风险通告】Oracle多个组件漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Oracle 官方发布了 2022 4 月的关键安全补丁集合更新 CPU CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞包括 CVE-2022-23305 CVE-2022-21420 CVE-2022-21441 CVE-2022-23437 CVE-2022-21453 CVE-2021-41184

经过技术研判,奇安信CERT认为CVE-2022-23305(Oracle WebLogic Server远程代码执行漏洞)、CVE-2022-21420(Oracle Coherence远程代码执行漏洞)漏洞利用限制较少,影响较为严重。鉴于漏洞危害性较大,奇安信CERT建议客户尽快应用本次关键安全补丁集合(CPU)。



漏洞信息

Oracle官方发布了2022年04月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞

漏洞名称

Oracle WebLogic Server远程代码执行漏洞

公开时间

2022-01-18

更新时间

2022-04-20

CVE编号

CVE-2022-23305

其他编号

QVD-2022-1142

威胁类型

代码执行

技术类型

SQL注入

厂商

Oracle

产品

WebLogic Server

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic   Server 中引用了第三方依赖 Apache Log4j,允许未经身份验证的攻击者通过 HTTP 访问服务器,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

影响版本

12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0

其他受影响组件

Apache Log4j 1.2.x(该版本已停止维护)


漏洞名称

Oracle Coherence远程代码执行漏洞

公开时间

2022-04-20

更新时间

2022-04-20

CVE编号

CVE-2022-21420

其他编号

QVD-2022-1902

威胁类型

代码执行

技术类型

不可信数据的反序列化

厂商

Oracle

产品

Coherence

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Coherence中存在远程代码执行漏洞,允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence,成功利用此漏洞可接管 Oracle Coherence。

影响版本

12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0

其他受影响组件


漏洞名称

Oracle WebLogic Server拒绝服务漏洞

公开时间

2022-04-20

更新时间

2022-04-20

CVE编号

CVE-2022-21441

其他编号

QVD-2022-1903

威胁类型

拒绝服务

技术类型

不可信数据的反序列化

厂商

Oracle

产品

WebLogic Server

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle WebLogic Server的Core中存在漏洞,允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server,成功利用此漏洞可能会导致 Oracle WebLogic Server 挂起或DOS。

影响版本

12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0

其他受影响组件


漏洞名称

Oracle WebLogic Server拒绝服务漏洞

公开时间

2022-01-24

更新时间

2022-04-20

CVE编号

CVE-2022-23437

其他编号

QVD-2022-1904

威胁类型

拒绝服务

技术类型

XML注入

厂商

Oracle

产品

WebLogic Server

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic   Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致 Oracle WebLogic Server挂起或DOS。

影响版本

12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0

其他受影响组件

Apache XercesJ <= 2.1.2


漏洞名称

Oracle WebLogic Server身份验证绕过漏洞

公开时间

2021-10-26

更新时间

2022-04-20

CVE编号

CVE-2021-41184

其他编号

QVD-2021-25808

威胁类型

身份验证绕过

技术类型

跨站脚本攻击

厂商

Oracle

产品

WebLogic Server

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic Server中存在漏洞,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些 Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。

影响版本

12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0

其他受影响组件

jQuery-UI <= 1.13.0



威胁评估

漏洞名称

Oracle WebLogic Server远程代码执行漏洞

CVE编号

CVE-2022-23305

其他编号

QVD-2022-1142

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方依赖 Apache Log4j,允许未经身份验证的攻击者通过 HTTP 访问服务器,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。






漏洞名称

Oracle Coherence远程代码执行漏洞

CVE编号

CVE-2022-21420

其他编号

QVD-2022-1902

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Oracle Coherence中存在远程代码执行漏洞,允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence,成功利用此漏洞可接管 Oracle Coherence。






漏洞名称

Oracle WebLogic Server拒绝服务漏洞

CVE编号

CVE-2022-21441

其他编号

QVD-2022-1903

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Oracle WebLogic Server 的Core中存在漏洞,允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server,成功利用此漏洞可能会导致 Oracle WebLogic Server 挂起或DOS。






漏洞名称

Oracle WebLogic Server拒绝服务漏洞

CVE编号

CVE-2022-23437

其他编号

QVD-2022-1904

CVSS 3.1评级

中危

CVSS 3.1分数

6.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致 Oracle WebLogic Server 挂起或DOS。






漏洞名称

Oracle WebLogic Server身份验证绕过漏洞

CVE编号

CVE-2022-21453

其他编号

QVD-2022-1905

CVSS 3.1评级

中危

CVSS 3.1分数

6.1

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

需要

影响范围(S

机密性影响(C

改变

完整性影响(I

可用性影响(A

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server中存在漏洞,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些 Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。






漏洞名称

Oracle WebLogic Server身份验证绕过漏洞

CVE编号

CVE-2021-41184

其他编号

QVD-2021-25808

CVSS 3.1评级

中危

CVSS 3.1分数

6.1

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

需要

影响范围(S

机密性影响(C

改变

完整性影响(I

可用性影响(A

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server中存在漏洞,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些 Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。



处置建议

请参考以下链接尽快修复:

https://www.oracle.com/security-alerts/cpuapr2022.html

Oracle WebLogic Server升级方式

1.Oracle WebLogic Server 11g:

bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3 

【安全风险通告】Oracle多个组件漏洞安全风险通告

出现以上提示代表补丁安装成功。

 

2.Oracle WebLogic Server 12c:

使用opatch apply 安装补丁

【安全风险通告】Oracle多个组件漏洞安全风险通告【安全风险通告】Oracle多个组件漏洞安全风险通告

注:补丁编号按照请自行更改为新补丁编号。

 

若非必须开启,请禁用T3和IIOP协议。

禁用T3 IIOP协议具体操作步骤如下:

1.禁用T3:

进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

【安全风险通告】Oracle多个组件漏洞安全风险通告

在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:

127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s* * * deny t3 t3s

【安全风险通告】Oracle多个组件漏洞安全风险通告

连接筛选器规则格式如下:target localAddress localPort action protocols,其中:

  • target 指定一个或多个要筛选的服务器。

  • localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。

  • action 指定要执行的操作。(值必须为“allow”或“deny”。)

  • protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Windows环境为例,重启服务的步骤如下:

进入域所在目录下的bin目录,在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务,Linux系统中则运行stopWebLogic.sh文件。

【安全风险通告】Oracle多个组件漏洞安全风险通告

待终止脚本执行完成后,再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic,即可完成WebLogic服务重启。


2.禁用IIOP:

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。



参考资料

[1]https://www.oracle.com/security-alerts/cpuapr2022.html



时间线

2022年4月20日,奇安信CERT发布安全风险通告


点击 阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情





奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓